Założeniem oceny skutków przetwarzania dla ochrony danych (DPIA) jest wspomaganie zarządzania ryzykiem przez administratora w ramach operacji dokonywanych na danych osobowych i przystosowywanie go do przestrzegania przepisów RODO. Takie wnioski przedstawia w swoich wytycznych Europejska Rada Ochrony Danych. Sprawdź, w jakich przypadkach należy przeprowadzić DPIA w związku ze stosowaniem nowych technologii.
Poznaj:
kryteria EROD, na podstawie których można ustalić, czy przeprowadzenie DPIA jest konieczne,
wskazówki PUODO zawarte w wykazie operacji wymagających DPIA,
przykłady z życia, w których stosowanie nowych technologii wymaga DPIA.
W wytycznych 17/PL WP 248 Europejska Rada Ochrony Danych wskazała kryteria ustalenia zasadności przeprowadzenia DPIA.
Gdy działalność administratora mierzy się co najmniej według dwóch z tych kryteriów, powinien on przygotować DPIA. Nie jest to jednak reguła.
Kryteriami tymi są:
dokonywanie oceny lub punktacji, w tym profilowanie oraz prognozowanie na podstawie danych osobowych (np. przedsiębiorstwo badające lokalizacje użytkowników aplikacji mobilnej w celu poznania preferencji zakupowych danej osoby),
automatyczne podejmowanie decyzji wywołujące względem osoby skutki prawne lub w inny sposób istotnie wpływające na osobę,
systematyczne monitorowanie osób,
zbieranie danych szczególnej kategorii,
przetwarzanie danych na dużą skalę,
dopasowywanie lub łączenie zbiorów danych w zakresie wykraczającym poza uzasadnione oczekiwania osób, których dane dotyczą,
przetwarzanie danych osób wymagających szczególnej opieki,
przetwarzanie danych przy użyciu nowoczesnych rozwiązań technologicznych lub organizacyjnych,
przetwarzanie w sposób, który uniemożliwia osobom, których te dane dotyczą, realizowanie swoich praw albo np. korzystanie z usług.
Mając na względzie przedstawione wytyczne, przeprowadzenie DPIA w przypadku stosowania nowych technologii może być konieczne w następujących przypadkach.
Przykład
Szpital przetwarzający dane genetyczne i dane dotyczące zdrowia pacjenta w ramach swojego systemu informatycznego spełnia kryteria:
przetwarzania danych wrażliwych,
przetwarzania danych osób wymagających szczególnej opieki,
przetwarzania danych na dużą skalę.
Przykład
Stosowany jest system kamer monitorujących zachowanie kierowców na drogach, który ułatwia namierzanie pojazdów i automatycznie rozpoznaje numery tablic rejestracyjnych pojazdu. Spełnione zostaną tutaj kryteria:
systematycznego monitorowania,
innowacyjnego wykorzystania lub zastosowania rozwiązań technologicznych lub organizacyjnych.
Przykład
Magazyn internetowy korzysta z listy dystrybucyjnej, aby wysyłać krótkie i ogólne wiadomości do swych subskrybentów. W tym wypadku administrator spełnia jedynie kryterium przetwarzania danych na dużą skalę. Samo takie działanie nie powoduje konieczności przygotowania DPIA.
Pewne wnioski można wyprowadzić także z komunikatu Prezesa Urzędu Ochrony Danych Osobowych z 8 lipca 2019 r. zawierającego wykaz rodzajów operacji przetwarzania danych osobowych wymagających DPIA.
Przykład
Przykładowymi sytuacjami związanymi z wykorzystaniem nowych technologii, które są powiązane z koniecznością przeprowadzenia oceny skutków dla ochrony danych, mogą być m.in.:
przetwarzanie danych biometrycznych w ramach systemu wejść do klubów fitness,
przetwarzanie danych genetycznych przez podmioty oferujące diagnostykę genetyczną,
systemy monitoringu osiągnięć sportowych w ramach tzw. aplikacji „lifelog”, które współpracują z opaskami typu fitness i w ramach tego wykorzystują chmurę obliczeniową,
przetwarzanie danych na dużą skalę przez różnego rodzaju serwisy społecznościowe.
Poznaj najważniejsze orzeczenia zagranicznych organów nadzorczych. W podsumowaniu poruszamy zagadnienia związane m.in. z geolokalizacją, prawem dostępem do danych, cyberatakiem na gminę czy rozpoznawaniem twarzy.
© Portal Poradyodo.pl